17 Haziran 2026'da kamuya açılan bir kimlik bilgisi veri kümesi, kimseyi şaşırtmaması gerekirken herkesi tedirgin etti. Araştırmacı Volodymyr "Bob" Diachenko, on binlerce Fortinet FortiGate güvenlik duvarına ait kullanıcı adlarını, e-posta adreslerini ve açık metin parolaları barındıran, internete açık bir sunucu buldu. Kevin Beaumont veri kümesini elde etti, Hudson Rock ile birlikte inceledi ve kimsenin doğrulanmasını istemediği kısmı doğruladı: kimlik bilgileri geçerliydi. Kampanyaya FortiBleed adı verildi.
Asıl hikâye, rakamlarda. 194 ülkeye yayılmış, 21.632 alan adına bağlı 73.932 benzersiz FortiGate URL'si: bu, Shodan taramalarına göre şu anda kamuya açık internete bakan tüm Fortinet güvenlik duvarlarının kabaca yarısı. İfşa olan kuruluşlar amatör değil: Foxconn, Samsung, Comcast, Siemens, Lenovo, FedEx, Accenture, Oracle, PwC, ayrıca devlet kurumları ve kritik altyapı işletmecileri. En az dört kuruluş, Japonya, Tayvan, Vietnam, Irak ve Türkiye'de tamamen ele geçirildi; saldırganlar ağın içinde makineden makineye atladı. En kötü durum, gizli belgelerin sızdırıldığı, Türkiye merkezli, NATO üyesi bir savunma alt yüklenicisidir. Faaliyet, çok operatörlü, Rusça konuşan bir suç grubuna atfedildi.
İroni kendini yazıyor. Tek amacı davetsiz misafirleri sınırda tutmak olan o tek cihaz, güvenlik duvarı, sınırın açık kapısına dönüştü.
Teknik olarak gerçekte ne oldu
Burada yeni bir zafiyet yok ve bu önemli. Toplama işlemi, Fortinet'in Ekim 2022'de yamaladığı ve çoğu kuruluş düzeltmeyi uygulamadan önce kitlesel olarak istismar edilen FortiOS kimlik doğrulama atlatma açığı CVE-2022-40684'e kadar uzanıyor. 2022 dalgası sırasında toplanan kimlik bilgileri o zamandan beri özel suç forumlarında dolaşıyor. FortiBleed işte bu stoğun tazelenmiş hâli: operatörler SSL-VPN kimlik doğrulamasını araya girerek yakaladı, parola özetlerini geri elde etti ve bunları Hashtopolis ile düzenlenen 45-GPU'luk bir küme üzerinde kırdı. Ardından geri elde ettikleri parolaları canlı cihazlara karşı tekrar oynattı: 320.000 FortiGate cihazına karşı 1,16 milyar oturum açma denemesini ve buna paralel olarak 160.000 Microsoft SQL sunucusuna karşı 2,1 milyar denemeyi daha kaydettiler; geçerli olanları da kuruluştaki her Windows hesabını yöneten dizin olan Active Directory'ye kadar taşıdılar.
Fortinet'in yanıtı teknik olarak doğru ama stratejik açıdan konunun yanından geçiyor. Şirket, FortiBleed'i ürünlerindeki yeni bir kusur olarak değil, geçmiş olaylardan geri dönüştürülmüş veriler artı kaba kuvvet olarak tanımlıyor. Doğru. Ne var ki cihazlar hâlâ çevrimiçi ve geri dönüştürülmüş bir parola, kimse onu değiştirmediği sürece gerçek bir kapıyı tam o süre boyunca açar. Büyük bir parkta her VPN ve yönetici kimlik bilgisini yenilemek parmak şıklatmakla olacak iş değildir; saldırganların hâlâ işe yarayacağına bahse girmelerinin asıl nedeni de budur. Haklı çıktılar.
Bunu hangi çerçeveler yönetir ve neyi talep ederler
Bu, niş bir teknik dipnot değildir; etkilenen kuruluşların zaten hesap verdiği üç rejimin tam ortasında durur.
AB Dijital Operasyonel Dayanıklılık Yasası (DORA) finansal kuruluşları bağlar. BİT risk yönetimi sütunu (5 ila 15. maddeler), uzaktan giriş noktalarında güçlü kimlik doğrulama ve erişim kontrolü (9. madde) ile test edilmiş, kanıtlanmış bir olay müdahale yeteneği (11. madde) gerektirir. DORA, "2022 CVE'sini yamadık" ifadesini dayanıklılık olarak kabul etmez; kalıntı riskin tanımlanıp tanımlanmadığını, ölçülüp ölçülmediğini ve yönetilip yönetilmediğini sorar. Ağ ve Bilgi Güvenliği Direktifi 2 (NIS2), enerji, ulaştırma, imalat, dijital altyapı ve kamu yönetimi dâhil çok daha geniş bir nüfusu kapsar ve 21. maddesi çok faktörlü kimlik doğrulamayı, erişim kontrolünü ve varlık yönetimini açıkça temel önlemler olarak adlandırır; yönetim organları ise 20. madde uyarınca kişisel olarak sorumludur. ISO/IEC 27001:2022 aynı kontrolleri Ek A yükümlülükleri olarak çerçeveler: A.5.17 (kimlik doğrulama bilgileri), A.8.5 (güvenli kimlik doğrulama), A.5.15 (erişim kontrolü) ve A.8.9 (yapılandırma yönetimi). NATO üyesi savunma alt yüklenicisi için dördüncü bir katman geçerlidir: gizli materyalin sızdırılmasının yalnızca ticari bir ihlal değil, raporlanabilir, egemenlik düzeyinde bir olay olduğu savunma tedarik zinciri güvenliği yükümlülükleri.
Hangi kontroller başarısız oldu
Manşetlik ölçeği bir kenara bırakın; FortiBleed, KAPALI konumda bırakılmış anahtarlardan oluşan kısa bir listedir. Uzaktan erişim çok faktörlü kimlik doğrulaması yoktu veya eksikti; oysa bu, çalınmış bir parolayı etkisiz kılan tek kontroldür, varlığı bir olmamış-olayı bir ihlalden ayıran kontroldür. Kimlik bilgisi yenileme, 2022 ele geçirmesinin ardından hiçbir zaman devreye girmedi; öyle ki dört yıl önce sızan parolalar Haziran 2026'da hâlâ kimlik doğrulamasından geçiyordu. Yama ve yapılandırma hijyeni, toplamanın başarıya ulaşmasına yetecek kadar uzun süre, özgün CVE-2022-40684 penceresinin gerisinde kaldı. VPN sınırı ile Active Directory çekirdeği arasındaki ağ bölümlemesi inceydi veya yoktu; bu da tek bir ele geçirilmiş cihazı alan adı çapında yatay harekete dönüştürdü. Ve tüm bunların temelinde varlık görünürlüğü başarısız oldu: kuruluşların, FortiGate cihazlarından hangilerinin internete açık olduğuna, hangi ürün yazılımıyla, hangi hesaplarla ve hangi kimlik doğrulama duruşuyla çalıştığına dair yetkili ve güncel bir görünümü yoktu. Göremediğiniz bir ifşa üzerinde yenileme yapamaz, bölümleyemez veya MFA'yı zorunlu kılamazsınız.
CCI'nin araçları neyi değiştirirdi
Yukarıdaki dört kontrolün hiçbiri yeni bir ürün kategorisi gerektirmiyordu. Bunlar, ifşanın sürekli olarak görülmesini, fiyatlandırılmasını ve kanıtlanmasını gerektiriyordu; CCI'nin enstrümanlarının kapattığı boşluk tam da budur.
EviGen, saldırganlar sormadan önce önemli olan tek soruyu yanıtlardı: MFA, her SSL-VPN ve yönetici hesabında, her cihazda, şu anda zorunlu mu? EviGen bu yapılandırma kanıtını tüm park genelinde otomatik olarak toplar ve onu çerçeve farkındalıklı biçimde, panik içinde yeniden oluşturulan değil sürekli üretilen DORA 9. madde, NIS2 21. madde ve ISO A.8.5 eseri olarak paketler. MFA kapsamındaki bir boşluk, sızdırmadan sonra adli bir keşif olmaktan çıkıp, açıldığı hafta tarihli ve imzalı bir bulguya dönüşür.
NetDiagramer, saldırganların gerçekte yürüdüğü yolu çizerdi. Güvenlik duvarı bölgelerini ve katmanlar arası bağımlılıkları canlı envanterden eşleyerek internete açık her FortiGate'i ve, kritik biçimde, SSL-VPN sınırından Active Directory çekirdeğine giden rotayı ortaya çıkarır. Dört kuruluşu tamamen ele geçirilebilir kılan o düz, sınırdan alan adına komşuluk, otomatik üretilmiş bir DORA 8. madde ve NIS2 21. madde topolojisinin bir otopsi şeması olarak değil bir bulgu olarak ifşa ettiği tam da budur.
cVaR, "eski kimlik bilgileri, herhâlde sorun yok" ifadesini yönetim kurulu düzeyinde bir rakama dönüştürürdü. FAIR ve Monte-Carlo simülasyonunu varlık envanteri genelinde uygulayarak, "internete açık VPN kimlik bilgisi tekrar oynatılır ve AD'ye geçer" senaryosunu euro cinsinden bir kayıp aşım eğrisi olarak fiyatlandırır. Bir risk kaydında belirsiz bir endişe olarak okunan kalıntı ifşa, bir cVaR panosunda koşullu riske maruz değer olarak okunur; kalıntı euro'lar yenilenir, kalıntı endişeler ise ertelenir.
DORA-MAST, bunu bir sürpriz değil, test edilmiş bir senaryo hâline getirirdi. Kesintiyi, yani uzaktan erişim sınırında kimlik bilgisi yeniden kullanımını, modele karşı çalıştırır, dayanıklılık etkisini hesaplar ve testi DORA'nın 24 ila 31. madde test programı kapsamında kanıtlar; tüm sınırı tek bir cihaz satıcısına yatırmanın getirdiği üçüncü taraf yoğunlaşma riski de buna dâhildir.
İfşayı öngör, fiyatlandır, kontrolü kanıtla, başarısızlığı prova et. 2022 yarası bilinebilirdi. Sızdırılan kimlik bilgileri bilinebilirdi. MFA boşluğu bilinebilirdi. FortiBleed, Fortinet'in kodundaki bir zafiyeti istismar etmedi. Bir kuruluşun sahip olduğu bir kontrol ile o kuruluşun açık olduğunu kanıtlayabildiği bir kontrol arasındaki mesafeyi istismar etti. Bu mesafeyi kapatın ve geri dönüştürülmüş parola hiçbir şeyi açmaz.
Alan adınız zaten listedeyse: hızla yardım almak
Yukarıdaki araçlar, bir kuruluşun bir olaydan önce inşa ettiği bir duruşu tarif eder. FortiBleed, ifşa olan 21.632 alan adının çoğu için gelecekteki bir risk değil, şimdiki bir risktir ve dürüst soru, bu hafta ne yapılacağıdır. CCI'nin iki ayrı yeteneği geçerlidir ve her birinin ne yaptığı konusunda kesin olmakta fayda var.
Birincisi, baskı altında liderliktir. CCI'nin Hizmet Olarak CISO sunumu, bankacılık, savunma, telekom ve enerji alanlarında kasıtlı olarak çakışmayan geçmişlere sahip, CISSP sertifikalı sekiz veya daha fazla uygulayıcıdan oluşan bir havuza dayanır. Kimlik bilgilerini FortiBleed kümesinde yeni keşfetmiş bir kuruluş için ilgili mod, geçici veya çağrı üzerine destektir: iç ekip yenilemeyi yürütürken ifşayı önceliklendirebilen, bir yönetim kurulunu bilgilendirebilen ve bir düzenleyicinin 11. madde (DORA) veya 23. madde (NIS2) sorularını yanıtlayabilen, hesap verebilir bir güvenlik lideri. Yönettiğimiz yeri denetlemeyiz; böylece bu bağımsızlık tasarım gereği korunur.
İkincisi, mühendislik hızıdır. EviGen, NetDiagramer, cVaR ve DORA-MAST'ı inşa eden kişiler ayrı bir satıcı değildir; akademisyenlerden, doktora düzeyinde araştırmacılardan ve güvenlik mühendislerinden oluşan kurum içi bir araştırma ve geliştirme ekibidir. Bu, operasyonel açıdan önemlidir; çünkü FortiBleed düzeltmesi, ölçekte bir araç sorunudur: bir kuruluşun tüm FortiGate filosunu yayımlanmış ifşa-olan-alan-adı listesiyle çapraz kontrol etmek, yüzlerce cihazda kimlik bilgisi yenilemesini zorlamak ve ardından kalan her hesapta çok faktörlü kimlik doğrulamanın zorunlu kılındığını kanıtlamak. Bu, tam olarak aynı mühendislerin hızla ayağa kaldırabileceği türden, özel olarak hazırlanmış bir düzeltme enstrümanıdır; çünkü envanter alımı, yapılandırma kanıtı toplama ve topoloji eşleme dâhil olmak üzere temel yapı taşları, sunum slaytları değil, teslim edilmiş ürünler olarak zaten mevcuttur. Dürüst çerçeveleme bir yetenektir, sözleşmesel bir kronometre değil: bu yapı taşlarını ürünleştirmiş ekip, onları hedeflenmiş bir düzeltme aracına, sorunla ilk kez karşılaşan bir ekipten çok daha hızlı birleştirebilir. FortiBleed parkınıza ulaştıysa, kapsamı belirlenmiş bir yanıta giden en hızlı yol, bir uygulayıcıyla konuşmaktır.
Hiçbir zaman kapanmayan yara
Eşek arısı değişmez; koloni değişir. Fortinet'in müşterilerinin 2022'de kaybettiği kimlik bilgileri kendiliğinden hiçbir zaman süresi dolmayacaktı, çünkü parolalar iyileşmez. Filonun hâlâ ifşa olan yarısı için değişen şey hiçbir şey: aynı cihazlar, aynı parolalar, alan adına giden aynı düz yol. Çözüm gösterişsiz ve tamamen erişilebilir. MFA'yı zorunlu kılın, hemen yenileyin, sınırı çekirdekten bölümleyin ve bu üçünün de doğru olduğuna dair sürekli kanıt tutun. Saldırganlar, bunu okuyacağınıza, başınızı sallayacağınıza ve gelecek çeyreğe erteleyeceğinize bahse giriyor. Bu konuda haklı olduklarını gösteren dört yıllık bir sicilleri var.
Acronyms
| Kısaltma | Açılımı (İngilizce) | Türkçe çevirisi |
|---|---|---|
| AD | Active Directory | Active Directory (Etkin Dizin) |
| CVE | Common Vulnerabilities and Exposures | Yaygın Zafiyetler ve Açıklar |
| CVSS | Common Vulnerability Scoring System | Yaygın Zafiyet Puanlama Sistemi |
| DORA | Digital Operational Resilience Act | Dijital Operasyonel Dayanıklılık Yasası |
| FAIR | Factor Analysis of Information Risk | Bilgi Riskinin Faktör Analizi |
| GPU | Graphics Processing Unit | Grafik İşlem Birimi |
| ICT | Information and Communication Technology | Bilgi ve İletişim Teknolojisi |
| MFA | Multi-Factor Authentication | Çok Faktörlü Kimlik Doğrulama |
| NIS2 | Network and Information Security Directive 2 | Ağ ve Bilgi Güvenliği Direktifi 2 |
| SSL-VPN | Secure Sockets Layer Virtual Private Network | Güvenli Yuva Katmanı Sanal Özel Ağ |
References
- Lautier, V. (2026). 75 000 pare-feu Fortinet siphonnes: l'attaque FortiBleed touche la moitie du parc mondial. Korben. https://korben.info/75-000-pare-feu-fortinet-siphonnes-lattaque-fortibleed-touche-la-moitie-du-parc-mondial.html
- The Register (2026). Massive password-stealing attack hits 75K Fortinet firewalls. https://www.theregister.com/cyber-crime/2026/06/17/massive-password-stealing-attack-hits-75k-fortinet-firewalls/
- Help Net Security (2026). 74,000 Fortinet firewall credentials exposed in FortiBleed data leak. https://www.helpnetsecurity.com/2026/06/18/fortinet-fortibleed-data-leak/
- BleepingComputer (2026). FortiBleed leak exposes Fortinet VPN credentials for 73,000 devices. https://www.bleepingcomputer.com/news/security/fortibleed-leak-exposes-fortinet-vpn-credentials-for-73-000-devices/
- CSO Online (2026). FortiBleed campaign exposes 75,000 Fortinet firewalls worldwide. https://www.csoonline.com/article/4186790/fortibleed-campaign-exposes-75000-fortinet-firewalls-worldwide.html
- Security Affairs (2026). FortiBleed: Admin Passwords for 75,000 Fortinet Firewalls. https://securityaffairs.com/193817/hacking/fortibleed-exposes-admin-passwords-for-75000-fortinet-firewalls.html
- CERT-EU (2024). Security Advisory 2024-018: Critical FortiOS SSL-VPN vulnerability (CVE-2024-21762). https://cert.europa.eu/publications/security-advisories/2024-018/
- European Union (2022). Regulation (EU) 2022/2554 (Digital Operational Resilience Act). https://eur-lex.europa.eu/eli/reg/2022/2554/oj
- European Union (2022). Directive (EU) 2022/2555 (NIS2). https://eur-lex.europa.eu/eli/dir/2022/2555/oj